Patrón de Azure Policy: efectos
Azure Policy tiene muchos efectos que determinan cómo reacciona el servicio ante los recursos no compatibles. Algunos efectos son simples y no requieren ninguna propiedad adicional en la definición de directiva, mientras que otros requieren varias propiedades.
Muestra 1: Efecto simple
Esta definición de directiva comprueba si la etiqueta definida en el parámetro tagName existe en el recurso evaluado. Si la etiqueta aún no existe, se desencadena el efecto modify para agregar la etiqueta con el valor en el parámetro tagValue.
{
"properties": {
"displayName": "Add a tag to resource groups",
"policyType": "BuiltIn",
"mode": "All",
"description": "Adds the specified tag and value when any resource group missing this tag is created or updated. Existing resource groups can be remediated by triggering a remediation task. If the tag exists with a different value it will not be changed.",
"metadata": {
"version": "1.0.0",
"category": "Tags"
},
"parameters": {
"tagName": {
"type": "String",
"metadata": {
"displayName": "Tag Name",
"description": "Name of the tag, such as 'environment'"
}
},
"tagValue": {
"type": "String",
"metadata": {
"displayName": "Tag Value",
"description": "Value of the tag, such as 'production'"
}
}
},
"policyRule": {
"if": {
"allOf": [{
"field": "type",
"equals": "Microsoft.Resources/subscriptions/resourceGroups"
},
{
"field": "[concat('tags[', parameters('tagName'), ']')]",
"exists": "false"
}
]
},
"then": {
"effect": "modify",
"details": {
"roleDefinitionIds": [
"/providers/microsoft.authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c"
],
"operations": [{
"operation": "add",
"field": "[concat('tags[', parameters('tagName'), ']')]",
"value": "[parameters('tagValue')]"
}]
}
}
}
}
}
Muestra 1: Explicación
"effect": "modify",
"details": {
"roleDefinitionIds": [
"/providers/microsoft.authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c"
],
"operations": [{
"operation": "add",
"field": "[concat('tags[', parameters('tagName'), ']')]",
"value": "[parameters('tagValue')]"
}]
}
El efecto modify requiere el bloque policyRule.then.details que define roleDefinitionIds y operations. Estos parámetros informan a Azure Policy de qué roles son necesarios para agregar la etiqueta y corregir el recurso y de qué operación modify se va a usar. En este ejemplo, se usan el valor add de operation y los parámetros para establecer la etiqueta y su valor.
Ejemplo 2: Efecto complejo
Esta definición de directiva audita cada máquina virtual para comprobar si una extensión, definida en los parámetros publisher y type, no existe. Usa auditIfNotExists para comprobar un recurso relacionado con la máquina virtual para ver si existe una instancia que coincida con los parámetros definidos. En este ejemplo se comprueba el tipo extensions.
{
"type": "Microsoft.Authorization/policyDefinitions",
"name": "audit-vm-extension",
"properties": {
"displayName": "Audit if extension does not exist",
"description": "This policy audits if a required extension doesn't exist.",
"parameters": {
"publisher": {
"type": "String",
"metadata": {
"description": "The publisher of the extension",
"displayName": "Extension Publisher"
}
},
"type": {
"type": "String",
"metadata": {
"description": "The type of the extension",
"displayName": "Extension Type"
}
}
},
"policyRule": {
"if": {
"allOf": [{
"field": "type",
"equals": "Microsoft.Compute/virtualMachines"
},
{
"field": "Microsoft.Compute/imagePublisher",
"in": [
"MicrosoftWindowsServer"
]
},
{
"field": "Microsoft.Compute/imageOffer",
"in": [
"WindowsServer"
]
}
]
},
"then": {
"effect": "auditIfNotExists",
"details": {
"type": "Microsoft.Compute/virtualMachines/extensions",
"existenceCondition": {
"allOf": [{
"field": "Microsoft.Compute/virtualMachines/extensions/publisher",
"equals": "[parameters('publisher')]"
},
{
"field": "Microsoft.Compute/virtualMachines/extensions/type",
"equals": "[parameters('type')]"
}
]
}
}
}
}
}
}
Ejemplo 2: Explicación
"details": {
"type": "Microsoft.Compute/virtualMachines/extensions",
"existenceCondition": {
"allOf": [{
"field": "Microsoft.Compute/virtualMachines/extensions/publisher",
"equals": "[parameters('publisher')]"
},
{
"field": "Microsoft.Compute/virtualMachines/extensions/type",
"equals": "[parameters('type')]"
}
]
}
}
El efecto auditIfNotExists requiere el bloque policyRule.then.details para definir los valores de type y existenceCondition que se van a buscar. existenceCondition utiliza elementos de lenguaje de directivas, como los operadores lógicos, para determinar si existe un recurso relacionado coincidente. En este ejemplo, los valores comprobados para cada alias se definen en los parámetros.
Pasos siguientes
- Consulte otros patrones y definiciones integradas.
- Revise la estructura de definición de Azure Policy.
- Vea la Descripción de los efectos de directivas.